Примусово використовувати SSL на сайті зараз?

22

Я починаю бачити більшість веб-сайтів, які починають використовувати SSL як стандартну практику безпечного перегляду веб-сайту тепер завдяки розкриттям Едварда Сноудена про спостереження за НСА.

Чи варто зробити це веб-стандартом, щоб усі веб-сайти використовували SSL для безпеки, перегляду, платежів і всюди?

У мене є простий особистий блог, і в мене люди кажуть, що мені потрібно використовувати його через те, що я озвучую свою думку, занепокоєння та ідеї щодо теми АНБ, і вони кажуть, що вони починають відчувати себе менш захищеними без HTTPS ...

security  https 
аендрю
джерело
3
Поміркуйте, пропонуючи TLS лише для збільшення кількості зашифрованого трафіку в Інтернеті, що зловмисникам ускладнюватиме розмову про змову та нудний трафік.
Макс Рід

Відповіді:

5

Цікаве запитання. Однак очевидною відповіддю було б, якщо я можу отримати веб-сайт із браузером, то і АНБ також може отримати його. Я не намагаюся бути розумним штаном на цьому. SSL слід використовувати для входу в обліковий запис, платежів тощо. Як правило, це не обов'язково.

Сказавши це, я підтримую SSL більше, ніж це відповідає. Якщо ви блогер, то я б не використовував SSL. Якщо ви говорите речі, які ви хочете приватними, навіть за певних обставин, тоді ви не повинні публікувати їх або ставити за логіном, щоб краще контролювати, хто їх бачить.

Пам'ятайте, що Інтернет - це відкритий засіб зв’язку. Він розроблений і орієнтований на це. Приватні засоби зв’язку не є розбірливими щодо того, з ким він підключається та ділиться інформацією, і часто застосовують численні схеми безпеки для забезпечення безпечного зв'язку. Мережа створена для того, щоб легко та анонімно з'єднуватися з будь-яким клієнтом та обмінюватися всією чи майже всією інформацією, яку він має. Так, є варіанти забезпечення веб-комунікацій до певної точки, однак це завжди буде обмежено через характер того, що це є.

closetnoc
джерело
У вас є пункт. Сертифікат SSL перешкоджає переслідуванню та включенню людей у ​​"список" за те, що вони відвідують, тому що я говорю правду та аналізую їхні дії та підбиваю їх до пекла та назад ...
Гаразд. Я впущу вас на секрет. Я напіввідставний консультант для великих телекомунікацій. Не було зашифрованого пакету, який ми не могли б розшифрувати. Це вимагало спеціального обладнання, але це було легко отримати обладнання. У наших снайперів рідко виникали проблеми з шифруванням, включаючи подвійні зашифровані зв’язки. Це може бути важче в ці дні. Крім того, я до того, щоб я був військово-морським Intel з DoD-роботою. Я впевнений, що якщо АНБ хоче переглянути ваші зашифровані повідомлення, вони можуть. Зараз я вам скажу, що взагалі їх не хвилює те, що ви говорите, доки ви не розмовляєте з терористом.
closetnoc
Мені прийшло в голову, що я повинен сказати, що мені не подобається, що робить АНБ, і не думаю, що це правильно. Це не так. Я також хочу зазначити, що навантаження на трафік така, що вони не можуть переглядати все і не намагаються. Найперше для них, найімовірніше, є інформація заголовка пакета, щоб встановити підозрілі комунікації "точка-точка" перед вивченням будь-якого пакету. Тому хтось, хто заходить у ваш блог, швидше за все, не буде нюхати, якщо він не перевтілиться Осама або, можливо, його двоюрідний брат. (гумор)
closetnoc
Тоді SLL скомпрометована вами та будь-ким, хто має ваші навички. Ось як я це сприймаю ... Плюс одкровення Едварда Сноудена і те, що було випущено, не означає, що вони записують усе про нас, коли воно говорить? Або читання цих витоків для себе того, що зробила та робить АНБ, не точно?
Вибачте за останні кілька запитань. Просто все, що відбувається, не має сенсу.
6

HTTPS може досягти трьох речей:

  • Автентичність . Переконайтесь, що ви спілкуєтесь із реальним власником домену.
  • Конфіденційність . Переконайтесь, що лише власник цього домену і ви можете прочитати повідомлення.
  • Цілісність . Переконайтесь, що хтось інший не змінює вміст.

Напевно, всі згодні з тим, що HTTPS повинен бути обов'язковим при передачі секретів (наприклад, паролів, банківських даних тощо).

Але є кілька інших випадків, коли і чому використання HTTPS може бути корисним:

Зловмисники не можуть підробляти запитуваний вміст.

Під час використання HTTP підслуховувачі можуть маніпулювати вмістом, який відвідувачі бачать на вашому веб-сайті. Наприклад:

  • Включення зловмисного програмного забезпечення в програмне забезпечення, яке ви пропонуєте для завантаження.
  • Цензура частини вашого вмісту. Зміна ваших думок.
  • Введення реклами.
  • Заміна даних вашого рахунку на пожертви власними.

Звичайно, це стосується і вмісту, надісланого вашими користувачами, наприклад, редагування вікі. Однак, якщо ваші користувачі анонімні, зловмисник може "симулювати" тим, що є користувачем (якщо тільки зловмисник не є ботом і існує якийсь ефективний бар'єр CAPTCHA).

Зловмисники не можуть читати запитуваний вміст.

Під час використання HTTP підслуховувачі можуть знати, до яких сторінок / вмісту у вашому хості відвідувачі отримують доступ. Хоча сам контент може бути загальнодоступним, знання, яке конкретна людина споживає, є проблематичним:

  • Він відкриває вектор атаки для соціальної інженерії .
  • Це порушує конфіденційність.
  • Це може призвести до нагляду та покарання (аж до ув’язнення, тортур, смерті).

Звичайно, це стосується і вмісту, надісланого вашими користувачами, наприклад, листів через контактну форму.

Все, що було сказано, просто пропонування HTTPS на додаток до HTTP захищатиме лише тих користувачів, які перевіряють (або застосовують локально, наприклад, з HSTS ), що вони ним користуються. Зловмисники можуть змусити всіх інших відвідувачів використовувати (вразливий) варіант HTTP.

Отже, якщо ви прийшли до висновку, що ви хочете запропонувати HTTPS, ви можете розглянути можливість його застосування (перенаправлення на стороні сервера з HTTP на HTTPS, надішліть заголовок HSTS).

unor
джерело
1
Просто уникнути введення реклами досить, щоб змусити мене переключити свій інформаційний сайт на SSL.
Білл Рупперт
4

Секретність

Оскільки ваш вміст є загальнодоступним, HTTPS, очевидно, не приховуватиме його, але він може забезпечити певні переваги залежно від характеру вашого веб-сайту.

Конфіденційність

Коли хтось запитує сторінку через HTTPS, запит шифрується, тому якщо хтось переглядає ваших відвідувачів, вони не знають, на які сторінки вони зверталися. На жаль, DNS (система отримання IP-адреси на основі доменного імені вашого веб-сайту) не шифрується, тому спостерігач все ще може визначити, хто відвідує ваш веб-сайт. Навіть якщо це було зашифровано, у більшості випадків ви все одно можете сказати, який веб-сайт відвідує хтось, грунтуючись на IP-адресах, які неможливо приховати в поточному дизайні Інтернету.

Вікіпедія пропонує HTTPS, який, на вашу думку, є безглуздим, оскільки вміст є загальнодоступним, але, роблячи це, вони захищають своїх користувачів: Якщо хтось шукає "непатріотичні" речі у Вікіпедії (використовуючи HTTPS), їхній уряд не може сказати, на яких сторінках вони читаєш, тільки що вони у Вікіпедії. Ще одна справа, що сам вміст є загальнодоступним, але люди не обов'язково хочуть, щоб інші люди знали, що вони роблять на ньому.

Безпека пароля

Інша основна причина, яку ви можете розглянути HTTPS, - це якщо у вас є сторінки для входу або в інші місця, де ви приймаєте приватні дані від користувачів (включаючи вас самих). Якщо ви взагалі не підтримуєте HTTPS, паролі та інша інформація буде надіслана "в чистоті", і кожен, хто може прочитати мережеві дані, може побачити їх (страшний випадок, коли інші люди в тій же мережі Wi-Fi, як і ви; тепер він також включає різні урядові установи, які шукають матеріалів шантажу).

Якщо ви просто підтримуєте HTTPS на сторінці входу, але ніде більше, розумний зловмисник перехопить кожну сторінку, окрім сторінки входу, і змінить посилання "Вхід", щоб не використовувати HTTPS, а потім перехопить ваше спілкування (і якщо ви змусите цю сторінку до HTTPS вони можуть просто перехоплювати трафік і надавати підроблену версію його, яка працює). Ви можете запобігти цьому, завжди перевіряючи піктограму блокування у рядку URL-адреси перед входом у систему, але майже ніхто не пам'ятає це робити кожного разу.

Відновіть Моніку
джерело
3

Я багато в чому погоджуюся з пунктами Closetnoc, але є і інший момент, який не можна помітити: Користувачам Tor потрібна версія SSL, щоб запобігти вислуховуванню вузлів виходу .

Якщо ви підозрюєте, що хтось із ваших читачів використовує Tor, у вас повинен бути включений SSL як практика.

Крім того, +1 на думку Макса Рейда: як мінімум, ви допомагаєте нормалізувати використання шифрування для некритичного трафіку, тим самим збільшуючи зусилля, які повинні докладати розвідувальні органи для виявлення бажаних пакетів.

аендрю
джерело
Мені подобається ідея ускладнити життя АНБ. На жаль, це може ускладнити життя всебічно. Більше циклів процесора, більша передача даних, більше пакетів, повільніша швидкість передачі тощо. Звичайно, це лише невеликий крапель на кожен сайт, але достатньо сайтів, і у вас може виникнути справжня проблема, не кажучи вже про те, що робить NSA. Зачекай. Щойно 2016 рік наблизиться до НСА, вузол запхне його в хвіст. Зараз це просто невелика пожежа під їх $ $.
closetnoc
4
@closetnoc TLS збільшує розмір передачі, що, як, на 1%? І будь-який напівсучасний процесор може працювати з усіма криптовалютами, які веб-браузер може подумати, щоб кинути на нього. В чому проблема?
Метт Нордхофф
Я згоден. Я назвав це крихітним крапельником. Можливо, це більше схоже на супер крихітний крапельник. Але я підозрюю, що досить супер крихітних крапель справді вплине на життя. Подумайте про сферу роботи в Інтернеті, і якби всі перейшли на SSL, це швидко збільшиться. Це може не зняти сітку, але ефект я відчуваю, я впевнений.
closetnoc
1
@closetnoc 1% великої речі все ще 1%.
Метт Нордхофф
1
@closetnoc Всі телекомунікації мають обмежену ємність. Жоден здоровий телекомунікаційний сервіс не працює у своїх портах десь біля 99%. (Однак декілька божевільних змушують вимушувати Netflix.) Якби вони це зробили, вони будуть щоразу накручені, коли на YouTube виходить нове музичне відео Джастіна Бібера.
Метт Нордхофф
3

Насправді немає причини для цього, крім вартості самого SSL.

Для типового розгортання веб-сервера SSL додає невеликі накладні витрати.

Існує розмова щодо стандарту http 2.0, щоб зробити шифрування обов'язковим: http://beta.slashdot.org/story/194289

Алекс Кейсміт
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.